容易に悪用できるこの脆弱性により、認証されていない脅威アクターはサイト管理者権限を取得でき、テナント境界を越えても同様です。
Cisco Secure Workloadセキュリティプラットフォームのオンプレミス版に存在する重大脆弱性により、脅威アクターがサイト管理者の権限を取得でき、エンドポイントを侵害し、構成データを読み取りまたは変更することが可能になる可能性があります。
「CSOは今すぐ手を止めてこの脆弱性にパッチを当てるべきです」と、Enderle Groupの責任者であるロバート・エンダーレコンサルタントが警告しました。「Cisco Secure Workloadはゼロトラスト、マイクロセグメンテーション、エンタープライズ全体のネットワーク可視性を管理しています。攻撃者がセキュリティポリシーを決定するプラットフォームを支配すれば、ネットワーク全体の地図と鍵を実質的に所有することになります。」
「これは絶対的な最悪のシナリオです」と彼は続けました。「このプラットフォームが大規模企業にとってどれほど重要であるか、脅威アクターはパッチが当たっていないAPIエンドポイントを積極的にスキャンして悪用しようとします。」
この緊急の対応の必要性は、Info-Tech Research Groupの主任研究責任者であるフレッド・シャニョンからも繰り返されました。攻撃者はエンタープライズのセキュリティポリシーを変更または解除でき、意図的に閉じられていた環境内のドアを効果的に開く可能性があると彼は指摘しました。
『影響範囲が大きい可能性がある』
「このアクセスはサイト管理者レベルで動作し、テナント境界を越えるため」と彼は付け加えました。「マルチテナント展開では、影響範囲が大きい可能性があり、複数のビジネスユニットまたは顧客に属するワークロードとデータが公開または侵害される可能性があります。」
Ciscoはこの脆弱性(CVE-2026-20223)に最大CVSS スコア10.0を割り当てています。認証されていないリモート攻撃者が認証を完全にバイパスできるためです。内部REST APIエンドポイントに細工されたHTTPリクエストを送信することで、脅威アクターは即座にサイト管理者権限を取得できます。
Ciscoの勧告では、この脆弱性はREST APIエンドポイントへのアクセス時の検証と認証が不十分であることが原因であると述べられています。
回避方法はありません。唯一の解決策はこの脆弱性に対処するためのソフトウェアアップデートをインストールすることであり、Ciscoは「強く推奨」しています。バージョン4.0を実行しているシステムは4.0.3.17にアップグレードする必要があります。バージョン3.10を使用しているシステムはバージョン3.10.8.3にアップグレードし、バージョン3.9以前を使用しているシステムはより新しい修正版にマイグレーションする必要があります。
この脆弱性はSaaSとオンプレミス展開の両方のSecure Workload Cluster Softwareに影響し、デバイス構成に関係なく、内部REST APIのみに影響し、Webベースの管理インターフェースには影響しません。ただし、オンプレミス版を使用している場合のみ対応が必要です。Ciscoはすでに SaaS製品にパッチを適用しています。
水曜日現在、Ciscoはこの脆弱性の悪意のある使用について認識していません。
『アクティブな脅威として扱え』
Chagnonによると、良いニュースは、Ciscoのセキュリティチーム自身がこの脆弱性を発見および開示し、勧告と同時にパッチを公開したことです。さらに、彼は付け加えました。野生での悪用の兆候は知られておらず、Ciscoの独自の発表に先立つ公開開示もありません。
SaaS版はすでにCiscoによってパッチが当たっていますが、オンプレミスでCisco Secure Workloadを実行している管理者は、これを定期的なパッチサイクル中に修正すべき事項として扱うべきではないと彼は述べました。「この脆弱性の性質、完璧なCVSSスコア、認証が必要でない、利用可能な回避方法がないことを考えると、組織はこれをアクティブな脅威と同様に扱うべきです」と彼は述べました。
